Contrôle d’accès sur le client pour des documents XML Luc Bouganim, François Dang-Ngoc, Philippe Pucheral INRIA Rocquencourt & Université de Versailles.

Présentation au sujet: "Contrôle d’accès sur le client pour des documents XML Luc Bouganim, François Dang-Ngoc, Philippe Pucheral INRIA Rocquencourt & Université de Versailles."— Transcription de la présentation:

1 Contrôle d’accès sur le client pour des documents XML Luc Bouganim, François Dang-Ngoc, Philippe Pucheral INRIA Rocquencourt & Université de Versailles France

2 Contrôle d’accès sur le client Objectif -Partager des données XML et contrôler l’accès sur le client Pourquoi faire le contrôle sur le client ? –Baisse de confiance vis à vis des hébergeurs de données (DSP) -Attaques internes (DBA ou SA) -Attaques externes –Distribution sélective de données -Les utilisateurs ont accès aux parties des données diffusées (broadcast) selon leur privilège/license.

3 Etat du problème Approche traditionnelle –Stocker les données chiffrées sur le serveur –Accès aux données si on a la clé de déchiffrement KBKB KAKA Serveur Bob Alice KAKA KBKB K AB

4 Etat du problème Ajout d’un utilisateur –4 nouvelles zones de partages : Chris, Alice-Chris, Bob- Chris, Alice-Bob-Chris KBKB KAKA Serveur Bob Alice KAKA KBKB K AB Chris K AC K ABC K BC KCKC K AC K ABC K AC K ABC K C K BC K ABC K BC Comment supporter des droits à grain fin et dynamiques ?

5 Notre approche Emergence des Secure Operating Environment (SOE)... –E.g., cartes à puce, tokens sécurisés –Haute résistance aux attaques Principes Serveur Terminal Alice Bob SOE Terminal SOE

6 Notre approche Limitations –Mémoire (RAM minuscule) –Coût de communication et de déchiffrement relativement élevés comparé au CPU Etats du problème –Gérer le contrôle d’accès sur un flux XML –Assurer que les parties non-autorisées ne soient jamais divulguées –Vérifier que le document n’a pas été modifié illégalement Contributions –Algorithme pipeline basé sur des automates non déterministes pour contrôler l’accès à un flux XML –Indexer le flux pour sauter les parties non pertinentes

7 Modèle de droit d’accès XML Droits d’accès pour un sujet { } Politique d’accès fermé Politique de résolution de conflit –Plus spécifique est prioritaire –Interdiction est prioritaire Règles pour Dr. John Doe a b c d b d c h R S Inspiré par Bertino, Damiani R R S

8 Contrôle d’accès en flux Evaluation 1 2 3 45 b d c b * R 6 7 h * a b c d b d c - Liste de prédicats Pile d’Autorisation Pile de token 1 6 1 2 2 4 2 6 - - 1 5 2 6 - 5252 1 2 2 6 + 1 3 2 6 1 2 3 4 3 6 1 3 3 6 1 5 3 6 +?+? - 5 2 5 3 Attend 5 3 + h 1 6 7 - S 2 2 2 2 3 3 3 3 Chemin Navigationel Chemin de prédicat Automate de règles Chemin Navigationel

9 Optimisations Facteurs limitants Communication et déchiffrement Objectif Sauter les parties non-autorisées du document Règles R1 R2 R3 a b b a c f g e e hh hd Intégrer lors de la construction du doc XML des meta-données

10 Skip index - Principe Principe –A la construction, attacher à chaque noeud la liste des tags présents dans le sous-arbre. a b b a c f g e e h h h d {a, b, c, d, e, f, g,h} {c, f, g} {d, e, h} {d, h} {h} R1 attend d R2 attend e, d, h Règles R1 R2 R3 R1 attend d R2 attend d, e, h R1 attend d R2 attend d, h R1 attend d R2 attend d, h SAUTE

11 Skip index - encodage Meta-données d’un noeud –Liste des tags LT –Taille du sous-arbre TS –Tag du noeud TN a b b a c f g e h d {a, b, c, d, e, f,g,h} {c, f, g} {d, e, h} {d, h} defgh abc Dictionnaire de tags 11001 000 defg h abc 101 deh 1023 octets (<2^10) 125 octets (<2^7) log(Card(LT)) bits log(TS du père) bits Card(LT du père) bits Index compact Taille des metadonnées diminue avec la profondeur Taille maxNoeud e 3 bits 7 bits 2 bits 12 bits

12 Experiences Configuration –Prototype écrit en C tournant sur un simulateur matériel de carte à puce –Caractéristiques de la carte à puce 32 bit CPU 8KB de RAM 32KB d’EEPROM Jeux de données considérées –WSU (pas profond, peu de tags distincts et éléments de petite taille) –Sigmod Record (bien structuré) –Treebank (profond, beaucoup de tags distincts)

13 Experiences Surcoût du stockage de l’index 77 71 16 15 78 15 23 142 0 20 40 60 80 100 120 140 WSUSigmodTreebank Struct/text (%) NC TC TCSBR 538 NC: pas de compression TC: Compression des tags => id (1 octet) => 0 (1 octet) TCSBR: notre méthode => id se basant sur le bitmap Taille récusivement compressée Liste des tags récursivement compressée Le surcoût de l’index est négligeable

14 Experiences Performance sur des données rééls 40 50 60 70 80 90 100 110 120 SigmodWSUBank Throughput (KB/s) TCSBR LWB TCSBR: notre solution LWB: borne inférieure – lit théoriquement seulement les parties pertinentes Caractéristiques des documents Prof. moyenne #eleme nts #tags distincts Sigmod5.111K11 WSU (règles complexes) 3.174K20 Bank (règles complexes) 7.82M250 Gère bien les différentes situations Résultats encourageants

15 Conclusion Première tentative pour appliquer les droits d’accès sur des flux XML Contributions –Evaluateur de règles de contrôle d’accès sur un flux XML –Skip index Prototype –Validé à travers une application d’agenda collaboratif sur des cartes Javacard –Silver award au concours e-gate’04 Travaux futurs –Améliorer le skip index –Travail sur des données multimedia